Zero-Day: Sicherheitslücke durch Office-Dokumente – Update jetzt verfügbar

von David Hänel
13. Juli 2023
2 Minuten zu lesen
Autor
David Hänel
Ehrliches Miteinander und konstruktiver Austausch. IT-Security bedeutet nicht automatisch eine Einschränkung des Benutzerkomforts.
Zum Experten Profil
Teilen:

Update 9. August 2023

Microsoft hat jetzt ein Update veröffentlicht, das erweiterte Sicherheit als Defense-in-Depth-Strategie bietet.

Das Update kann hier heruntergeladen werden: Zum Update

Worum geht's?

Microsoft hat eine Sicherheitslücke veröffentlicht (CVE-2023-36884), die es Angreifern ermöglicht auf sensible Daten zugreifen zu können. Dafür ist nur eine sehr geringe Benutzerinteraktion notwendig. Angreifer präparieren einen Office-Anhang in einer Email oder locken per Link User auf eine Homepage auf der Dokumente heruntergeladen werden sollen. Das öffnen des Anhangs reicht aus, damit die Hacker zugriff auf Unternehmensdaten erhalten. Die Sicherheitslücke wird mit einem CVSS-Score von 8.3 als hoch eingestuft. Das BSI stuft den Sachverhalt als schwerwiegend ein, Maßnahmen sollten schnellstmöglich getroffen werden.

Einen Patch gibt es noch nicht

Microsoft weist darauf hin, dass es noch keinen Patch gibt, um die Sicherheitslücke zu schließen. Es wird erwartet, dass das Unternehmen die Lücke bei seinem monatlichen Update schließen wird. Bis dahin wurde ein Workaround veröffentlicht, mit dem das Einfallstor geschlossen werden kann. Hier weist Microsoft darauf hin, dass bei Umsetzung des Workarounds es zu Funktionseinschränkungen kommen kann.

Außerdem empfehlen wir zur Zeit alle Office-Anhänge in Emails zu blockieren und Makros in Office zu deaktivieren. Zudem sollten Mitarbeiter noch einmal verstärkt sensibilisiert werden und über Security Awareness Trainings geschult werden:

  • Erwarte ich wirklich diesen Office-Anhang?
  • Kenne ich den Absender?
  • Muss ich das Dokument wirklich sofort öffnen?

Sie brauchen Unterstützung bei der Blockierung Ihrer Anhänge oder möchten den Workaround umgesetzt haben? Dann melden Sie sich gerne bei uns.

 

Workaround

Folgende Mitigationsmaßnahmen stehen zur Verfügung:

Allen Microsoft-Office-Anwendungen das Erstellen von Child-Prozessen über die „Attack Surface Reduction (ASR)“-Regeln verbieten oder

unter dem Registry-Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

neue DWORD-Werte mit den folgenden Namen der Office-Programmdateien anlegen und jeweils auf 1 setzen:

    • Excel.exe
    • Graph.exe
    • MSAccess.exe
    • MSPub.exe
    • POWERPNT.EXE
    • Visio.exe
    • WinProj.exe
    • WinWord.exe
    • Wordpad.exe

Sie brauchen Unterstützung bei der Blockierung Ihrer Anhänge oder möchten den Workaround umgesetzt haben? Dann melden Sie sich gerne bei uns.

War dieser Artikel hilfreich für Sie?
OT Security Konferenz 2024
connecT versammelt am 21. März mehr als 60 Top-Unternehmen zum Schulterschluss zwischen IT und OT, für mehr Sicherheit in der Produktion.
Mehr Infos